如上圖所示:組作用域分為三類:domain local group(本地域),global group(全域性),universal(通用)。這三類之間的區別,又要分為兩種域模式native mode(本地模式)和mixed mode(混合模式);是兩種域的操作模式,預設新建的域為混合模式。如可在 active directory 域和信任關係中查到當前域的操作模式。
只有全域性組和通用組的型別是以使用者自己所在域的許可權為準,本地域組只能以資源所在域的許可權為準。
注:windows系統包含乙個限制,限制使用者的安全訪問令牌不能超過1,000個安全識別符號(sid)。當使用者驗證訪問許可權以與伺服器建立新會話時,該使用者不能是該域中超過1,000個組的成員,如果超出此限制,則拒絕訪問伺服器。
注:agdlp原則:按照agdlp的原則對使用者進行組織和管理起來更容易;當給乙個使用者某乙個許可權的時候,只要把這個使用者加入到某乙個本地域組就可以了。其中:
a (account):使用者帳戶
g (global group):全域性組
dl (domain local group):域本地組
p (permission):許可
執行思路:首先把使用者賬戶(account)加入到全域性組(global group),然後把全域性組加入到域本地組(domain local group,可以是本域或其他域的域本地組),最後,對於域本地組進行授權(permissions)。
組分類區別
通用作用域
在本機模式域中,可將其成員作為來自任何域的帳戶、來自任何域的全域性組和來自任何域的通用組。在本機模式域中,不能建立有通用作用域的安全組。組可被放入其他組(當域處於本機模式時)並且在任何域中指派許可權。不能轉換為任何其他組作用域。
作用範圍:森林中所有的域,來自全林用於全林,通用組和它的成員被列在全域性編目裡 (gc),每次對通用的修改(成員增加/刪除),都會引發gc複製流量,切記謹慎選擇和使用,一般通用組的成員不要經常頻繁的發生變化
全域性作用域
在本機模式域中,可將其成員作為來自相同域的帳戶和來自相同域的全域性組。在本機模式域中,可將其成員作為來自相同域的帳戶。組可被放入其他組並且在任何域中指派許可權。只要它不是有全域性作用域的任何其他組的成員,則可以轉換為通用作用域。
全域性組:可以全域性使用。即:可在本域和與其有信任關係的其它域中使用,體現的是全域性性,
作用範圍:本域和所有被信任的域,來自本域用於全林,單域環境下直接把使用者賬號加入全域性組,給全域性組賦予許可權就可以。組在gc裡,但成員並不列在gc中
域本地作用域
在本機模式域中,可將其成員作為來自任何域的帳戶、全域性組和通用組,以及來自相同域的域本地組。在本機模式域中,可將其成員作為來自任何域的帳戶和全域性組。組可被放入其他域本地組並且僅在相同域中指派許可權。只要它不把具有域本地作用域的其他組作為其成員,則可轉換為通用作用域。
本地域組:只能在本域的域控制器dc上使用
作用範圍:本域,主要用於許可權訪問的alp策略;來自全林用於本域,組在gc裡,但成員並不列在gc中
安全組,是用來分配許可權的,比如說訪問共享許可權:
通用組的成員來可以來找整個森林,可以訪問整個森林裡的共享資料夾。(需要指定相應的 ntfs 許可權或共享許可權);
全域性組的成員只能來自本域(即組所在的域),但可以訪問整個森林裡的共享資料夾。(需要指定相應的 ntfs 許可權或共享許可權);
本地組的成員可以來自整個森林,但只能訪問本域(即組所在的域)的共享資料夾。(需要指定相應的 ntfs 許可權或共享許可權);
AD域中組織單位和組的區別
組和組織單元有很大的不同。組主要用於許可權設定,而組織單元則主要用於網路構建 另外,組織單元只表示單個域中的物件集合 可包括組物件 而組可以包含使用者 計算機 本地伺服器上的共享資源 單個域 域目錄樹或目錄林。組織單位是ou,組是group 前者是個目錄,後者用來設定許可權。組織單元是域中包含的一類...
AD域中組織單位和組的區別
組和組織單元有很大的不同。組主要用於許可權設定,而組織單元則主要用於網路構建 另外,組織單元只表示單個域中的物件集合 可包括組物件 而組可以包含使用者 計算機 本地伺服器上的共享資源 單個域 域目錄樹或目錄林。組織單位是ou,組是group 前者是個目錄,後者用來設定許可權。組織單元是域中包含的一類...
安全 AD域解釋 , 域和組的區別
使用ad 域的優缺點 第 一 微軟基於ad的域模式,最大的優點是實現了集中式管理。以前在無數客戶端要重複多次的設定,只要在域控制器上做一次設定就可以了。減少了管理員的工作量,甚至可以裁員了,減少了維護企業網路的開支,降低了總體擁有成本。方便了管理員。第二 對於域中的普通使用者來說可能不是一件好事了,...